Aplikovaná informatika Základy bezpečnosti a ukládání dat, ochrana dat v souborech a archivech. ZEMÁNEK, Z. PLUSKAL,D. SMETANA, B.

Aplikovaná informatika Základy bezpečnosti a ukládání dat, ochrana dat v souborech a archivech. ZEMÁNEK, Z. PLUSKAL,D. SMETANA, B. Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky amanagementu Registrační číslo projektu: CZ.1.07/2.2.00/28.0326

Základy bezpečnosti a ukládání dat, ochrana dat v souborech a archivech. i 1. Bezpečný přístup p k datům m na PC 2. Bezpečná ochrana dat aktiva a hrozby 3. Analýza bezpečnosti průnik do systému 4. Kontrolní otázky a úkoly samostudia

Cíle přednášky 1. Předat studentům m základnz kladní informace o bezpečném m přístupu p k datům m na PC. 2. Objasnit význam bezpeb ezpečné ochrany dat aktiv a hrozeb. 3. Charakterizovat analýzu a bezpečnosti PC průnik do systému.

Bezpečnost vybraných IKT při p i práci s informací Bezpečný přístup p k datům, informacím m a IKT, je velmi obecný pojem. Samotná problematika bezpečnosti z pohledu IS/IT je velmi rozsáhl hlá: A. PC/systém. B. Přenos P dat po sítích. s C. Přístup P k vzdáleným volně dostupným datům/zdroj m/zdrojům. m.

Bezpečnost vybraných IKT při p i práci s informací Můžeme rozlišit více rovin bezpečnosti: 1. Dodržování informační bezpečnostn nostní politiky organizace zaměstnanci stnanci. 2. Úroveň zabezpečen ení vlastního počíta tače proti škodlivému SW. 3. Problematika dat uložených mimo vlastní PC a jejich přenos. 4. Zamezení kráde deži osobních dat hackerem nebo zneužívání našeho počítače spamem. 5. Ochrana předp Malware, otázka zneužívání emailu, šifrování,.. 6. V oblasti vzdáleného přístupu, sociálních sítí je to otázka budování nových ochranných etických mechanismů, jak ochránit vlastní účty na sociáln lních sítích s na Internetu.

Bezpečný přístup p k datům m na PC 1. Uživatel U zaměstnanec Zaměstnanci jsou často nejslabším článkem v řetězci zabezpečení dat. Většina chyb je neúmyslná, omylem, ale nezřídka i cílená snaha poškodit firmu. pro 78% firem jsou největší hrozbou firemní bezpečnosti IS/IT vlastní zaměstnanci - výzkum Ogilvy Public Relations pro GiTy Brno. Možná motivace je: snahou prodat firemní konkurenční výhodu, také nespokojenost v zaměstnání, reakce na šikanu, nejrůznější formy znepříjemňování života na pracovišti.

Bezpečný přístup p k datům m na PC 2. Úroveň zabezpečen ení vlastního počíta tače Např. firma Microsoft v rámci pravidelného aktualizačního druhého úterý v měsíci poskytuje aktualizace na opravu kritických chyb zabezpečení v operačním systému Windows, aplikaci Internet Explorer (IE), sadě Office a serveru Exchange. Celkový roční počet aktualizací v posledních letech je zhruba o 20-30 % vyšší než v předchozích letech.

Bezpečný přístup p k datům m na PC Bezpečný přístup p k datům,, je velmi obecný pojem. Samotná problematika bezpečnosti z pohledu IS/IT je velmi rozsáhl hlá: Bezpečnost v rámci r ochrany osob a zdraví = problematika informačních systémů krizového řízení (ISKŘ), = problematika BOZP (automatizované linky, bezpečnostn nostní přestávky, vky, ). Bezpečnost objektů = ochrana budov a střežených prostor s výpočetní technikou, zajištění protipožární ochrany, atd. Bezpečnost informací = zaměřuje se na bezpečnost informací ve všech formách během celého životního cyklu (zachování důvěryhodnosti, integrity, dostupnosti informací).

Bezpečný přístup p k datům m na PC s minimáln lními náklady n vytvořit maximáln lní ochranu před p možným narušen ením, útoky různých r druhů lidí Důvody: neoprávněný zisk z průniku, důkaz schopnosti překonat bariéry ochrany, zlý úmysl, nedbalost, Ochrana dat na PC a přenosu p dat po sítis ti: autentizace a autorizace, bezpečnost aktiv, bezpečný přenos p dat, antivirová ochrana.

Bezpečný přístup p k datům m na PC Autentizace Slouží k jednoznačnému určen ení uživatele, který přistupuje p k systému. Cílem autentizace je zajistit, že e systém přesně ví,, s jakým uživatelem u komunikuje, kdo to je (kdo je kdo). Takový uživatel u se pak k systému přihlap ihlašuje pomocí svého jména a netriviáln lního hesla. Každý bezpečný systém m by měl m l podporovat autentizaci uživatele. Zpravidla se tak děje d pomocí vnitřních mechanismů systému, nejčast astěji databázov zového serveru. V databázi jsou vytvořeni uživatelu ivatelé (účty) s hesly, která bývají šifrována.

Bezpečný přístup p k datům m na PC Autorizace Slouží k jednoznačnému ověření autentizovaného subjektu jako zdroje informace. Cílem je ověření platnosti předkládaného certifikátu autentizovaného subjektu navazuje na autentizaci (kdo je kým). Podstatou autorizace je ověř ěřit, zda daný uživatel u mám oprávn vnění provést příslup slušnou akci, například vložen ení nového záznamu z znamu do seznamu dodavatelů apod.

Bezpečná ochrana dat aktiva a hrozby Aktiva představují u organizace v podstatě všechno, co vlastní a v budoucnu jí to přinese ekonomický prospěch (tj. majetek, lidské zdroje, technika, zásoby, licence,...). Hrozby a zranitelná místa zvyšují riziko a to se snažíme zmírnit tzv. protiopatřen eními, které vycházejí z bezpečnostn nostních požadavk adavků. Pro každé aktivum existuje zranitelné místo, na které může být veden útočníkem útok, který označujeme jako bezpečnostn nostní incident.

Bezpečná ochrana dat aktiva a hrozby zranitelnost Hmotná aktiva výpočetní technika, komunikační zařízení, média, jiná technická zařízení, počítačové místnosti a vybavení. Nehmotná aktiva datová aktiva, programová aktiva, ostatní služby.

Bezpečná ochrana dat aktiva a hrozby Přírodní a fyzické živelné pohromy a nehody. Technické a technologické poruchy nosičů a počítačů, poruchy sítí, poruchy způsobené programy. Lidské neúmyslné, úmyslné. zvenku zevnitř

Bezpečnost aktiv - protiopatřen ení Jakákoliv aktivita, zařízení, technika nebo jiný postup ke snížen ení ohrožen ení, bránění účinku jednotlivých hrozeb. Rozdělení administrativní charakter, fyzický charakter, technický a technologický charakter. Cíle prevence, korekce, detekce. Riziko hrozba zranitelnost Dopad

Úrovně bezpečnosti Fyzická Personáln lní Vývojového prostřed edí Administrativní Počíta tačová a komunikační

Fyzická bezpečnost chrání prostředí, ve kterém systém pracuje, vkládá umístění prvků IS do zabezpečeného prostoru. Ochrana: před neoprávněným přístupem, poškození, ovlivněním, před riziky prostředí, Bezpečnost administrativní snížení rizik představovaných nevhodným nastavením hostitelského systému. Ochrana: omezením přístupu běžného uživatele k možným nastavením systému, používat správná oprávnění k souborům, řádně spravovat uživatelské účty (mrtvé duše).

Personální bezpečnost Snížení rizik představovaných zaměstnanci, dodavateli, zákazníky, uživateli apod. Doporučení: pravidelné prověřování a určování osob pro práci s utajovanými a chráněnými informacemi, pravidelné prověřování a určování osob pro bezpečnostní správu IS, dat, pravidelná školení uživatelů systému k bezpečnosti. Lidský faktor ten je nejrizikovější 80% četnosti i bezpečnostn nostních incidentů!!!

Bezpečnost vývojového prostředí Snížení rizik sladěním bezpečnostních požadavků s provozními potřebami organizace. Doporučení: dostatečná podpora personálu z vedení a od administrátora, komunikace týkající se navrhovaných změn, prevence a detekce neautorizovaných změn a požadavků, zavedené postupy pro přezkoušení správné činnosti systému, zavést a udržovat principy monitorování systémů a sítě, vhodná reakce na incidenty a řízení změn.

Analýza bezpečnosti průnik do systému Průnik lze učinit u přes p každý článek systému tvořený a ovlivnitelný: 1. Lidmi - největší slabina IS. 2. HW - závislost na druhu a kvalitě. 3. SW - závislost na druhu a kvalitě. 4. Metodami - metodika a organizační opatřen ení.

Analýza bezpečnosti průnik do systému Faktory = příčiny p či i podmínky, které vyvolávaj vají, usnadňuj ují nebo podporují páchání trestných činů. Mají charakter záměru, pohnutky či i motivace: spáchat trestný čin, vyvolat neodpovědnost, dnost, nedbalost u neúmyslných deliktů.

Faktory průniku do systému Faktory = příčiny p či i podmínky: rozvoj neregulovaného trhu s informacemi, podceňov ování ochrany a zabezpečen ení PC, nízká úroveň právn vního vědomv domí uživatelů, častá nekompetentnost orgánů činných v trestním řízení v oblasti ochrany informací, organizovanost a profesionalita pachatelů průnik niků

Faktory průniku do systému Faktory = p = příčiny či i podmínky: vysoký stupeň variability způsob sobů průniku do PC a různorodost r předmp edmětů zájmů pachatelů, exhibicionismus, zábava, z msta či i deviace pachatelů, komplikovanost prokázání skutkové podstaty trestných činů

Formy průniku do PC Formy průniku jsou dány d konkrétn tním PC, takže e obecně: nepovolené monitorování přenosu informací, hackerství k daným počíta tačovým systémům, m, blokování a sabotáž e-mailových adres, zpřístupn stupnění nebo zasílání pornografie, nepovolená změna nebo přesun p informací

Formy průniku do PC Formy průniku jsou dány d konkrétn tním PC, takže e obecně: nepovolené kopírov rování informací, porušov ování autorského zákona, z simulace cizí indentity, zpřístupn stupnění nebo posílání dezinformací, pozměnění původní vstupní informace určen ené ke zpracování v systému

Formy průniku do PC Formy průniku jsou dány d konkrétn tním PC, tak obecně: násilný útok na samotný nosič informací, využit ití selhání lidského faktoru u jedince, který je článkem systému mu,, i díky d přehnanp ehnané bezpečnostn nostní politice organizace, prolomení či i získz skání vstupního hesla do PC, zavedení viru do SW pro vlastní PC,

Charakteristika průniku do PC Pronikání do PC se v dnešní době velmi rozšiřuje uje: = zejména z důvodd vodů získávání neoprávn vněného prospěchu, = jedná se o závažná společensky ensky nebezpečná jednání, = v mezinárodn rodním m měřm ěřítku ohrožuje ekonomické, politické,, bezpečnostn nostní a sociáln lní zájmy společnosti či i jedince.

Charakteristika průniku do PC Opatřen ení ke zvýšen ení ochrany systému mu: 1. účinná ochrana právn vním řádem, 2. účinná ochrana SW a HW vybavením, 3. účinná ochrana organizačně řídícími a kontrolními formami činnosti, 4. účinná ochrana vnitřním řádem přístupu, p 5. účinná ochrana proškolen kolením m uživatelu ivatelů.

Charakteristika průniku do PC - závěr Z uvedených důvodd vodů je nutné potlačit nebo zcela odstranit krimináln lní faktory umožň žňující přímý průnik pachatele k IS nebo ovlivňuj ující motivaci pachatele. Uvedení faktorů inicializuje další postupy a činnosti orgánů činných v trestním řízení v oblasti počíta tačové kriminality a odhaluje skryté možnosti ochrany vlastního PC.

Úkoly pro samostatnou práci 1. V praxi realizovat základnz kladní informace o bezpečném m přístupu p k datům m na PC 2. Objasnit význam bezpeb ezpečné ochrany dat aktiv a hrozeb 3. Charakterizovat analýzu a bezpečnosti PC průnik do systému

Zdroje doplňuj ující studijní literatura: 1. ČERNÝ, M. Počítačová bezpečnost [online]. 2010 [cit. 2013-12- 20]. Dostupné z: clanky.rvp.cz/wp-content/ /pocitacova_bezpecnost_prezentace.ppt 2. ČERNÝ, M. Systémy detekce a prevence průniku [online]. 2010 [cit. 2013-12-20]. Diplomová práce. Brno: VUT, FEKT. Dostupné z: http://www.vutbr.cz/www_base/zav_prace_soubor_verejne.php?file_id=27248 3. Typy poškození dat. Http://www.datahelp.cz [online]. 2010 [cit. 2013-12-13]. Dostupné z: http://www.datahelp.cz/zachranadat/typy-poskozeni-dat/ 4. COVEY, S. R. - MERRILL, A. R. - MERRILL, R. R. To nejdůležitější na první místo. 1. vyd. Praha: Management Press, 2009. 380 s. ISBN 978-80-7261-187-4.